Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Macap 2011
Monografia apresentada junto ao curso de Redes de Computadores da Faculdade SEAMA, Disciplina Sistema Operacional Proprietrio. Orientador Prof. Celio Nascimento
Macap 2011
Resumo
O recurso de Group Policy Objects (GPO) de grande utilidade para o administrador. Com o uso de GPO o administrador pode definir as configuraes de vrios elementos da estao de trabalho do usurio, como, os programas que estaro disponveis, os atalhos do menu iniciar que estaro disponveis configuraes de Internet, de rede. O administrador pode configurar, via GPO, quais grupos de usurios devero ter acesso ao cardpio Executar e quais no tero, pode configurar a pgina inicial do Internet Explorer para um grupo de usurios ou para toda a empresa, pode fazer configuraes de Proxy, So inmeras das opes de configuraes que esto disponveis via GPO. As Diretivas de Grupo podem ser aplicadas tanto para usurios quanto para computadores clientes, servidores membros, controladores de domnio. Por padro, temos uma GPO padro do domnio, a qual aplicada para todos os computadores e usurios do domnio.
Sumrio Introduo.........................................................................................................5 GPO Delegao de Poderes...........................................................................7 Exemplo figura1...............................................................................................8 Propriedade e Permisses de Segurana em UO..................................9 Exemplo figura2...............................................................................................9 Lista de Permisses Exemplo figura3.....................................................10 Polticas de senhas para Domnio............................................................11 Exemplo figura4, figura5............................................................................12
Introduo
No Active Directory existe uma unidade organizacional especfica para os controladores de domnio. Nessa unidade organizacional tambm existe, por padro, uma GPO1 que utilizada para gerenciamento dos controladores do domnio. Podemos citar as GPOS: Default Domain Policy e Default Domain Controllers Policy. As GPOs incluem configuraes que so aplicadas em nvel de usurio (ou seja, em qualquer estao de trabalho que o usurio faa o logon, as polticas associadas a sua conta de usurio sero aplicadas) e em nvel de computador (ou seja, qualquer usurio que faa o logon no computador ter as polticas de computador aplicadas). Por exemplo, se o administrador definiu uma poltica de usurio para o grupo do usurio josesilva, de tal maneira que o menu Executar no deva estar disponvel para este grupo. Em qualquer estao de trabalho que o jsilva fizer o logon, o menu executar no estar disponvel. Agora imagine que o administrador configurou uma poltica de computador, para o grupo de computadores da seo de contabilidade, definindo que o menu Executar no deve estar disponvel nestes computadores. Qualquer usurio que faa o logon em qualquer um dos computadores da seo de contabilidade, no ter disponvel o menu Executar, independentemente dos grupos aos quais pertena a conta do usurio, uma vez que a poltica est sendo aplicada ao computador independentemente do usurio que esteja utilizando-o. Esses recursos disponibilizar uma serie de funes como:
Gerenciar centralizadamente configuraes definidas no registro do Windows: As Diretivas de Grupo criam arquivos que possuem as configuraes do Registro do Windows. Estes arquivos so carregados e aplicados nas estaes de trabalho dos usurios, na parte da mquina local ou de usurio do banco de dados do Registro. As configuraes de perfil de usurio especficas a um usurio que faz logon em uma determinada estao de trabalho ou servidor so gravadas no Registro em HKEY_CURRENT_USER (HKCU) e as configuraes especficas do computador so gravadas em HKEY_LOCAL_MACHINE (HKLM).
Atribuir scripts: atravs das GPOs voc podem tambm distribuir scripts para serem executados no logon, inicializao, logoff e desligamento dos computadores. Fazer o redirecionamento de pastas: possvel tambm configurar as GPOs de tal forma que algumas pastas, como por exemplo, Meus Documentos e Minhas Imagens, sejam redirecionadas automaticamente para uma pasta compartilhada em um servidor. Com isso, os dados dos usurios estaro disponveis no servidor e podero ser acessados a partir de qualquer estao de trabalho da rede, na qual o usurio faa o logon. Outra vantagem da utilizao do redirecionamento de pastas que voc pode criar uma poltica de backup centralizada. Fazer o gerenciamento centralizado de aplicativos: outro recurso muito interessante das GPOs a distribuio de softwares. Voc pode fazer a distribuio dos softwares de forma automtica nas estaes de trabalho. Podemos utilizar os mtodos Associar e Publicar. Com o mtodo Associar, ser exibido o cone da aplicao no menu Iniciar da estao de trabalho. Basta o usurio clicar no cone para que a aplicao seja instalada. Com o mtodo Publicar, o usurio dever instalar a aplicao atravs do Adicionar ou remover programas, no Painel de Controle. Aplicar configuraes de segurana: possvel tambm definir polticas de senha e polticas de bloqueio de conta. Por exemplo, voc pode definir que a senha das contas de usurio devem ser trocadas a cada 30 dias e que o tamanho da senha deve ser de 9 caracteres no mnimo. possvel ainda definir que se o usurio errar sua senha por 3 vezes em um perodo de 30 minutos, sua conta ser bloqueada. Tudo isso de forma centralizada.
Essa introduo um dos passos para entrarmos em polticas de Permisses do Windows Server 2003, as chamadas delegaes de poderes.
Criar GPOs: esse direito permite que um usurio crie GPOs. Editar GPOs: esse direito permite que um usurio edite uma determinada GPO. Vinculao de GPOs: esse direito permite que um usurio associe GPOs com domnios ou sites ou unidades organizacionais. Executar o RSoP: esse direito permite que o usurio utilize o recurso de RSoP.
Para delegar o direito de criao de GPOs siga os passos do exemplo abaixo. Exemplo prtico Delegar o direito de criao de GPOs
Efetue o logon no controlador de domnio DC01 com a conta Administrador. Clique em Iniciar -> Ferramentas Administrativas -> Group Policy Management. O console GPMC ser aberto.
Expanda as opes Florest -> Domains -> Nome do Domnio -> Group Policy Objects. No painel da direita, clique na guia Delegao. Nessa tela so exibidos todos os usurios e grupos que possuem o direito de criao de GPOs, conforme a figura1.
Para remover o direito de criao de GPO de um usurio ou grupo, basta selecionar o objeto desejado e clicar no boto Remove. Na tela que ser exibida, clique em OK. Para adicionar o direito de criao de GPOs para um usurio ou grupo, clique em Adicionar, selecione a conta de usurio ou grupo e clique em OK. Ao adicionar o direito de criao de GPOs para um usurio ou grupo, voc estar tambm definindo que esse usurio ou grupo poder tambm editar as configuraes de uma GPO.
10
Na guia Geral so exibidas informaes sobre a OU, tais como Cidade, pas, etc. Na guia Gerenciado por voc pode selecionar um usurios que ser o contato e o responsvel pelo gerenciamento da OU. Normalmente o usurio que recebeu permisses para gerenciar os objetos da OU, atravs do uso do assistente para Delegao de controle, descrito anteriormente. Clique na guia Segurana. Ser exibida uma lista de usurios e grupos, com permisses de acesso a OU e aos objetos da OU. Este uma lista de permisso de segurana igual a tantas outras utilizadas no Windows Server 2003, como por exemplo uma lista de permisses NTFS de acesso a pastas e arquivos conforme a figura 3.
11
12
Ao clicar em uma das opes, por exemplo, Diretivas de senha, as diversas diretivas da opo selecionada ser exibida no painel da direita, conforme indicado na Figura 5.
Para que todas as opes da janela de propriedades de um objeto do Active Directory estejam disponveis, voc deve fazer com que as opes avanadas sejam exibidas. Para tal basta usar o comando Exibir -> Recursos avanados, no console Usurios e Computadores do Active Directory. Execute este comando antes de seguir adiante.
13
Referencia Bibliogrfica
<<http://technet.microsoft.com/pt-br/library/cc753731.aspx>> <<Windows.Server.2003.Curso.Completo.WwW.TheRebels.biZ.tHeDe atH>> <<http://www.fabianosantana.com.br/windows-server-2003>>